Форум Сайтостроение Администрирование серверов

Сайт заражен, как вылечить?

12
L
На сайте с 09.08.2007
Offline
11
loure
1803

Антивирусы ругаются на сайт. Сайт весь на хтмл, форма отписки - на рнр.

Смотрю: трой понавтыкал инфреймов во все странички.

В теории - мейл рнр обращается к почтовому серваку и хватает там троя, который вписывается в сайт.

Хотя на мой нубский взгляд в mail.php ничего криминального нет.

Вопрос: как вылечить, как сделать так что антивирусы не ругались?

Если просто поудалять инфреймы и на другой хостинг повесить поможет? 

<?php

// ИЗМЕНИТЕ ЭТИ ДАННЫЕ

$adresat = "mail@mail.ru";  //замените на свой e-mail

$status = "Администратор сайта"; // замените на свой статус/должность

$msg = "Спасибо, Ваше сообщение было отправлено и мы обязательно вам ответим!<br><p align=right>$status</p>";  //Замените на свое сообщение, выводимое при отправке



// если вы не знаете php/html не изменяйте код ниже:

$you = "$status. E-mail:&nbsp;$adresat";

if ($submit) {

   if(eregi("^[a-zA-Z0-9\._-]+@[a-z0-9\._-]+\.[a-z]{2,4}\$",$email))

   {

   if(empty($name)) echo "Введите ваше имя";

   else

   {

   mail("$adresat", "Вопрос с сайта", "От: $name\nАдрес: $email\nСообщение:\n\n$message");

   echo "<b>$msg<b>\n";

   }

   } else {

   echo "E-mail неправильно введен или содержит недопустимые символы. Пожалуйста вернитесь и заполните все поля правильно";

   }

}

else {

?>

<?php

} // end "else" and end of this script)

?>
Что с лося взять? Одно слово - корова....
K
На сайте с 09.02.2006
Offline
116
Kass
#1

В порядке:

- Найти трой на компе который утянул доступы к хостингу и прибить.

- Убрать ифреймы со страниц

- Сменить коды доступа

L
На сайте с 09.08.2007
Offline
11
loure
#2

Трой где то на серве, а не на моей машине.

K
На сайте с 31.01.2001
Offline
737
Kost
#3
loure:
Трой где то на серве,

Да нет, вы не поняли. Делайте по пунктам, в п.1 проверить ВСЕ машины, на которых хранятся пароли от хостинга. Если не нашли, переходите к следующим пунктам и смотрите за результатом. Если iframe прописался снова, возвращаемся к п.1.

P.S. Названия антивирусов и текст ругательства в студию, и с этого надо было начать.

Выделенные полосы в Москве (http://www.probkovorot.info) привели к снижению скорости до 23%.
Zaqwr
На сайте с 08.08.2007
Offline
111
Zaqwr
#4

если на хостинге апачь от пользователей стартует чмод 600 на хомовую каталожку

Администрирование, Linux, Cisco, Juniper
E
На сайте с 14.09.2007
Offline
24
Essay
#5
Kass:

- Найти трой на компе который утянул доступы к хостингу и прибить.
- Убрать ифреймы со страниц
- Сменить коды доступа

+ не хранить пароли в настройках соединения файловых менеджеров (чаще всего "вскрывают" Total Commander).

F
На сайте с 20.05.2007
Offline
55
fespro
#6
loure:
Трой где то на серве, а не на моей машине.

трой скорее всего на ВАШЕЙ машине, он спер пароли от фтп, пока вы его не найдете и не убьете - менять пароли и удалять iframe бесмысленно, он опять появится

Kost, Kass, +1

Евгений_В
На сайте с 22.01.2007
Offline
36
Евгений_В
#7

Была такаяже проблема.

С Total Commander сперли пароли. Не мог понять несколько дней откуда вирусы на сайте.

Когда разобрался сменил пароли на сервере и теперь в тотале пароли не храню.

Моя собака породы колли (http://www.mycollie.ru).
asto
На сайте с 13.10.2005
Offline
180
asto
#8

loure, была такая проблема. На компе был троян. Пришлось это убить, сменить пароли к фтп, и сменить фтп-клиент. Троян был на машине и тянул пароли к фтп. После чего менялись на серваке все индексные файлы и прописывались ифреймы.

В логах сервера я посмотрел ip с которых менялись файлы на серваке и дату когда это было. После чего, сделал полный бекап данных на сервере. Сейчас все в норме уже более трех месяцев. loure, сделать бекап данных не пробовали?

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
asto
На сайте с 13.10.2005
Offline
180
asto
#9
В теории - мейл рнр обращается к почтовому серваку и хватает там троя, который вписывается в сайт.
Хотя на мой нубский взгляд в mail.php ничего криминального нет.

loure, на одном из моих сайтов, судя по коду, указанному в вашем первом посте, этот же скрипт стоит на одном из моих сайтов вот уже года три и за это время никаких проблем с "получением" троев после обращения к почтовому серверу не наблюдалось.

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие
ssc
На сайте с 14.10.2007
Offline
16
ssc
#10
fespro:
трой скорее всего на ВАШЕЙ машине, он спер пароли от фтп, пока вы его не найдете и не убьете - менять пароли и удалять iframe бесмысленно, он опять появится
Kost, Kass, +1

+100, менять пароли надо быстрее!

SSC [Server Support Company] Установка, настройка и администрирование серверов http://ssc4u.net/rus/ (http://ssc4u.net/rus/) Проверка IP по большому количеству DNSBL-списков http://www.myiptest.com (http://www.myiptest.com/staticpages/index.php/check-Blacklisted-IP-DNSBL)
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий